フィッシング入門講座:公式ガイド

フィッシングについて、知っておくべきこととは。そして、その実態と対策とは?

phishing-101

もしも 7 分以上インターネットを利用しているのであれば、あなたはすでに数百以上ものフィッシング攻撃のターゲットになっているでしょう。フィッシングとは、攻撃者がユーザーの銀行口座番号、コード、パスワードなどを入手するために、偽のメールやリンク、添付ファイルを送りつける行為で、Web に匹敵するほど長い歴史があります。

偽メールは、ソーシャルメディアの通知、銀行の明細書、アンチウイルスのアラートなど、さまざまに形を変えて何も知らないユーザーを騙します。最近では実際に存在するアラートに見せかける工夫がされており、攻撃は分かりづらくなる一方です。ここ数年、詐欺犯は FacebookPayPalApple などの正規の通知を模倣する傾向があり、今年に入ってすでに 6 億 8,700 万ドルが騙し取られています。今年初め、Facebook を狙ったフィッシング詐欺があり、ユーザーのアカウントが侵害されたという偽メールが大量にばらまかれました。攻撃者は感染済みの全 Facebook アカウントの友達にメッセージを送信し、不審なリンクをクリックさせようと試みました。リンクをクリックすると、誘導先でクレジットカード番号やカードの有効期限など、個人情報を入力するよう求められます。

オンラインで安全に過ごすためにも、見たことのないメールには慎重に対応してください。詐欺にあわないポイントは、リンクをクリックする前に考えることです(予測できればなおよし)。

多くの場合、フィッシングのメッセージには不安を煽る内容が書かれており、ユーザーの関心を誘います。メールの件名でよくあるのは、「銀行口座で不正な取引が行われた疑い」です。攻撃者は標的が偽サイトにログインするよう常に仕掛けており、銀行口座のパスワードやログイン情報、メールアドレスなどの重要な情報を入力させようとしています。

また、Twitter ユーザーも偽のフィッシングツイートに注意し、見知らぬユーザーのツイートにある疑わしいリンクはクリックしないように気をつけてください。メール同様、最近の攻撃者は人気のソーシャルネットワークにも進出しており、不正リンクをツイートしてきます。リンク先は URL 短縮機能で簡単に分かりにくくなるので、安全かどうかを判断することはほぼ不可能です。

全体としては、知らない送信者からのメールやツイート内の不審なリンクをクリックしないよう気をつけて、こうしたメッセージを無視、削除、または通報するよう心がけてください。Twitter では不正なユーザーのブロックやスパム報告ができ、Gmail ではスパムまたはフィッシングメールを報告できます。

うっかりフィッシングリンクをクリックした可能性がある場合、パスワードなどの重要な個人情報は入力しないようにしてください。騙された疑いがある場合は、すぐにサイトのパスワードを変更してください(同じパスワードを設定している他のサイトも同様に変更します)。

米国連邦取引委員会では、フィッシング詐欺を防ぐ方法として最新のアンチウイルス製品やアンチスパイウェア製品の利用を推奨しています。また、米コンピュータ緊急事態対策チームは、個人情報を入力する際は URL に注意するよう喚起しています。正しいサイトにアクセスしたことは簡単に推測できますが、フィッシング詐欺に騙されているのであれば、Web サイトの URL のスペルがわずかながら異なっていることがあります(www.faceboook.com など)。ほとんどのブラウザーでは、SSL による安全な暗号化通信であることを、URL バーの左端にある緑の鍵マークで表示します。これも、正規のサイトであると確認する方法の 1 つです。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?